As macros do Microsoft Office infectadas por malware existem há quase três décadas . Essas explorações envolvem a inserção de código em uma macro aparentemente inócua do Word ou Excel, que é baixada por um usuário desavisado clicando em uma isca de phishing ou apenas em um simples anexo de e-mail mal direcionado.
Esse link acima o levará a uma explicação mais detalhada de como eles funcionam e por que eles têm sido tão difíceis de parar.
As boas notícias? Podemos ter finalmente virado a esquina na luta contra esse malware . A Microsoft tornou um pouco mais difícil a proliferação de vírus de macro com uma mudança recente em suas políticas de segurança de macro padrão . A alteração é apenas para os aplicativos do Office baseados no Windows Access, Excel, PowerPoint, Visio e Word. Agora está sendo implementado em várias versões do Office.
Antes de entrarmos no que mudou, você deve saber que malware semelhante a macro ainda é um problema. Cerca de um mês atrás, uma nova vulnerabilidade de dia zero chamada Follina foi relatada . Ele explora o recurso de modelo remoto do Word e pode executar comandos do PowerShell remotamente. O nome vem do código de área de uma cidade italiana, um número que foi encontrado por pesquisadores embutidos no código do malware.
Funcionará se os usuários baixarem o documento e estiverem executando versões mais antigas do Office. Pesquisadores encontraram evidências de Follina sendo implantado desde outubro passado. Embora tecnicamente não seja uma macro, é outra maneira inteligente de os hackers descobrirem como se infiltrar em uma rede.
O que a Microsoft fez para ajudar a proteger contra macros não autorizadas?
Um gerente de TI com quem conversei me disse que não pode desativar macros por padrão porque elas são usadas por muitas pessoas em sua organização para fins reais, como executar o sistema de CRM. Essa é uma situação muito típica e é uma das razões pelas quais a Microsoft demorou tanto para resolver o problema de malware de macro — porque eles são muito úteis e, portanto, são parte integrante da produtividade de muitos funcionários.
A Microsoft tem duas configurações de política de grupo disponíveis para desbloquear macros provenientes da Internet: a política Bloquear a execução de macros em arquivos do Office da Internet e a política Configurações de notificação de macro do VBA. Ainda há muito trabalho para configurar isso, pois as políticas precisam ser configuradas para cada aplicativo individual do Office.
Mas espere, há mais confusão
Depois que a Microsoft anunciou essas mudanças, houve muita reação dos gerentes de TI. Alguns dias atrás, eles disseram que estavam revertendo as alterações e as barras de ferramentas mais antigas foram exibidas novamente. Angela Robertson, principal GPM de identidade e segurança da equipe do Microsoft 365 Office, foi citada no BleepingComputer dizendo : “Com base nos comentários recebidos, uma reversão foi iniciada.
Uma atualização sobre a reversão está em andamento”. Isso parece indicar que a reversão é temporária, mas a Microsoft não forneceu mais comentários sobre o que levou às mudanças iniciais e subsequentes na proteção de macro. Eva Galperin, da Electronic Frontier Foundation, twittou que a reversão foi uma ideia terrível por causa das inúmeras macros com malware que ela viu.
Então, estamos completamente livres?
Não exatamente, como Follina ilustrou. Você ainda precisa estar atento a essas instâncias de malware de estilo macro. Como regra geral, não clique em nada que estiver online sem pelo menos alguma proteção instalada em seu computador. E fique atento para ver se a Microsoft fará mais alterações no comportamento padrão das macros no futuro.
